隨著攻防對(duì)抗的升級(jí),用戶行為分析與網(wǎng)絡(luò)安全的結(jié)合逐漸進(jìn)入了研究者的視野。用戶行為分析技術(shù)可以做到在被成功攻擊前識(shí)別不可信用戶,遏制入侵,達(dá)到主動(dòng)防御的效果。當(dāng)前在Web安全中用戶行為分析所使用的數(shù)據(jù)源主要是應(yīng)用層HTTP維度的數(shù)據(jù),這不足以確定用戶身份,容易造成漏報(bào)。在安全性和隱私性更好的HTTPS技術(shù)被大規(guī)模應(yīng)用的情況下,文中提出了基于n-gram和Simhash的改進(jìn)的TLS指紋數(shù)據(jù),該方法提高了現(xiàn)有TLS（Transport Layer Security）指紋的容錯(cuò)性。將該指紋應(yīng)用到用戶行為分析中可提高用戶身份判定的準(zhǔn)確率。對(duì)比實(shí)驗(yàn)使用卷積神經(jīng)網(wǎng)絡(luò)對(duì)從真實(shí)環(huán)境中得到的指紋數(shù)據(jù)和日志型用戶行為數(shù)據(jù)進(jìn)行建模分析。結(jié)果表明,改進(jìn)的TLS指紋數(shù)據(jù)可以更有效地識(shí)別用戶和黑客,將準(zhǔn)確率提高了4.2%。進(jìn)一步的分析表明,通過(guò)改進(jìn)的TLS指紋關(guān)聯(lián)用戶行為和時(shí)間軸回溯,還能在一定程度上對(duì)黑客進(jìn)行追蹤溯源,從而為安全事件調(diào)查提供情報(bào)上下文。 

【文章來(lái)源】：計(jì)算機(jī)科學(xué). 2020,47(03)北大核心CSCD

【文章頁(yè)數(shù)】：5 頁(yè)

【部分圖文】：

數(shù)據(jù)采集架構(gòu)

算法1 基于2-gram提取特征的Simhash化TLS指紋提取算法將多個(gè)軟件程序的TLS指紋通過(guò)算法1進(jìn)行計(jì)算后,得到每項(xiàng)之間的相似距離,如表2所列。

使用深度卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行用戶行為分析的模型如圖3所示。輸入數(shù)據(jù)分為兩個(gè)分支,分支一是圖1中OpenResty的后3個(gè)部分得到的行為數(shù)據(jù)(LogData),其中包括時(shí)間戳、請(qǐng)求方法、請(qǐng)求參數(shù)、HTTP Referrer頭、HTTP User-Agent頭、Cookie頭、訪問(wèn)的URI、使用的協(xié)議、Host頭、來(lái)源IP、返回狀態(tài)碼;分支二是圖1中JA3模塊得到的TLS指紋(TLS FP)。對(duì)于LogData,首先進(jìn)行字符級(jí)ASCII碼轉(zhuǎn)碼得到數(shù)值型數(shù)據(jù);然后,將其輸入字符級(jí)嵌入層進(jìn)行嵌入映射操作,得到字符嵌入矩陣;隨后將字符嵌入矩陣送入卷積層,采用64個(gè)大小為3×3、步長(zhǎng)為2的卷積核進(jìn)行卷積特征提取,同時(shí)進(jìn)行最大池化,并將卷積層的輸出送入全連接層。分支二中,TLS指紋經(jīng)過(guò)算法1進(jìn)行提取特征和Simhash計(jì)算,從而得到Simhash值,然后進(jìn)入一個(gè)全連接層進(jìn)行神經(jīng)網(wǎng)絡(luò)化,并在全連接層后與分支一的全連接層輸出進(jìn)行連接操作來(lái)融合兩部分?jǐn)?shù)據(jù),然后再進(jìn)行一次全連接層處理,最后將全連接層輸出給Softmax分類器進(jìn)行分類判別,從而得到檢測(cè)結(jié)果。4.2 實(shí)驗(yàn)結(jié)果


本文編號(hào)：3480334